CNNIC发布《中国互联网络发展状况统计报告》;GOOGLE研究人员披露苹果Image I/O的零点击漏洞

发布时间 2020-04-30

1.CNNIC发布《中国互联网络发展状况统计报告》



4月28日,中国互联网络信息中心(CNNIC)发布了第45次《中国互联网络发展状况统计报告》。此报告围绕互联网基础建设、网民规模及结构、互联网应用发展、互联网政务发展、产业与技术发展和互联网安全等六个方面,综合反映2019年及2020年初我国互联网发展状况。《报告》显示,截至2020年3月,我国网民规模为9.04亿,其中学生占比最多,为26.9%。    


原文链接:

http://news.china.com.cn/txt/2020-04/28/content_75985166.htm


2.GOOGLE研究人员披露苹果Image I/O的零点击漏洞



GOOGLE的Project Zero 团队于本周二披露了Apple操作系统中内置的框架Image I/O中的零点击漏洞,该框架被应用于iOS、macOS、tvOS和watchOS中,用来处理图像元数据。Project Zero团队表示,他们分析了该框架的模糊处理过程,以观察它是如何处理格式错误的图像文件。结果研究人员发现了 Image I/O 中存在6个漏洞,而苹果向第三方公开的高动态范围(HDR)图像文件格式框架OpenEXR中存在8个漏洞。目前,所有漏洞都已经被修复。

 

原文链接:

https://www.zdnet.com/article/google-discloses-zero-click-bugs-impacting-several-apple-operating-systems/


3.研究人员在28款杀毒App中发现Symlink race漏洞



RACK911 Lab的研究人员在主流操作系统(Windows、MacOS和Linux)上的28款杀毒App中发现了Symlink race漏洞。研究人员表示,是杀毒App的工作方式导致了这种漏洞的存在。杀毒App的扫描功能需要最高级别权限,而且在扫描和删除恶意App之间存在时间差,所以黑客可以利用这段时间以最高权限实行恶意App。黑客利用这个漏洞可以删除主机上的文件,包括杀毒App和操作系统的文件,使计算机崩溃。在研究人员通知这些杀毒App的开发人员后,各个企业都已经开始修复该漏洞。


原文链接:

https://latesthackingnews.com/2020/04/29/researchers-found-symlink-race-bugs-in-popular-antivirus-software/


4.两家Usenet服务企业发生数据泄露并归因于合作伙伴



两家Usenet服务企业UseNeXT和Usenet.nl于4月29日披露了其合作企业存在安全漏洞,并且该漏洞导致了数据泄露的问题,目前两家企业都未指出存在安全漏洞的企业。据两家企业称,此次泄露数据包括用户姓名、地址、支付信息(IBAN和账号)以及用户在创建帐户的过程使用到的信息。UseNeXT和Usenet.nl企业表示,用户需要要在网站恢复后重置帐户密码,并查看所有Usenet帐户设置以防有未经授权的更改。


原文链接:

https://www.zdnet.com/article/two-usenet-providers-blame-data-breaches-on-partner-company/


5.英国自动车牌识别系统泄露近900万公民行车数据



英国谢菲尔德市的自动车牌系统(ANPR)泄露了860万条公路行车记录,该问题可被黑客利用伪造特定车辆的行程。ANPR的内部管理界面可以通过在浏览器中输入IP地址访问,并且不需要任何登录和验证信息,即可查看和搜索实时数据。而黑客可以通过篡改系统中的摄像头名称、位置等关键信息来伪造车辆行程。谢菲尔德市议会在该事件发生后马上采取了应急措施,并将该系统脱机维修。


原文链接:

https://www.theregister.co.uk/2020/04/28/anpr_sheffield_council/


6.用于SD-WAN路由器的的CiscoAppIOS XE存在漏洞



用于SD-WAN路由器的的CiscoAppIOS XE存在输入验证不足漏洞(CVE-2019-16011,CVSS 3.0评分为7.8),该漏洞可以使本地的、经过身份验证的攻击者以root权限实行任意命令。此漏洞存在于Linux版本的SD-WAN路由器中,影响了聚合服务路由器(ASR)1000系列,集成服务路由器(ISR)1000系列,ISR 4000系列和云服务路由1000V系列,这些路由器目前都是小型企业在使用。该漏洞位于配置网络设备的Cisco IOX XE命令行界面(CLI)中,原因是CLI没有充分验证输入命令。


原文链接:

https://threatpost.com/cisco-ios-xe-flaw-sd-wan-routers/155319/